信息系统审计第六课件.ppt

1、 信 息 系 统 审 计 第七章山东财经大学会计学院 李康昊第七章 信息系统应用程序审计n 7.1 应用程序审计的内容n 7.2 应用程序审计的方法7.1 应用程序审计的内容 7.1.1 审查程序控制是否健全有效 7.1.2 审查程序的合法性 7.1.3 审查程序编码的正确性 7.1.4 审查程序的有效性7.1.1 审查程序控制是否健全有效 程序中输入控制的审计 业务数点计、控制总数核对、合理性检验、有效性检验、顺序检验、平衡检验等。程序中处理控制的审计 记录数点计、控制总数核对、合理性检验、溢出检验、平衡检验等。程序中输出控制的审计 控制总数核对、勾稽关系检验、平衡检验等。7.1.2 审查程

2、序的合法性 审查程序的合法性，是指审查程序中是否含有非法的审查程序的合法性，是指审查程序中是否含有非法的编码。非法的编码是指为了舞弊目的而设计的。编码。非法的编码是指为了舞弊目的而设计的。有些非法编码往往是在某种条件下执行，并产生非法结果。有些非法编码往往与正常编码一起执行非法功能。7.1.3 审查程序编码的正确性 目标和任务不明确 系统设计差错 程序设计说明书错误 程序语法或逻辑错误7.1.4 审查程序的有效性 审查程序的有效性，主要是指审查程序中是否含有无审查程序的有效性，主要是指审查程序中是否含有无效的或者效率较差的编码。效的或者效率较差的编码。在具体编写程序前应简化算术表达式及逻辑表达

3、式。细心地分析多层嵌套循环，以确定能否把一些语句或表达式移到循环体之外。尽量避免采用多维数组 尽量避免采用指针及复杂的表。采用“快”算法。不要把不同的数据类型混在一起。只要可能就采用整形数的算法运算。7.2 程序审计的方法 7.2.1 程序编码检查法 7.2.2 程序运行记录检查法 7.2.3 程序运行结果检查法 7.2.4 检测数据法 7.2.5 整体检测法 7.2.6 程序编码比较法 7.2.7 受控处理法 7.2.8 受控再处理法 7.2.9 平行模拟法 7.2.10 嵌入审计程序法 7.2.11 程序追踪法7.2.1 程序编码检查法 对被审程序的指令逐条加以审查，以验证程序的合法性、完

4、整性和程序逻辑的正确性。审计人员首先应通过对系统分析、程序设计资料的审阅，了解被审程序应具备哪些处理和控制功能，然后将此作为标准与被审程序中的处理和控制功能进行比较。通过审查，审计人员可发现下列问题：不符合会计准则及财务通则、会计制度及财务制度的程序。程序中没有设计预定的控制功能，或者控制无效或效果不大。程序应变能力差。即没有考虑例外的情况或特殊情况。程序员设计了便于营私舞弊的指令或子程序。7.2.1 程序编码检查法 由于程序编码检查法要求审计人员首先要看懂被审程序，另外还要对其逻辑流程进行分析。因此，在一次审计中要详细地检查整个被审的电算化信息系统是不实际的，也是不必要的。程序编码检查法一般

5、适用于下列情况 审计人员要详细了解一个高度敏感或重要的程序 审计人员要详细了解一个相对简单的程序或程序系列。审计人员要详细了解某特定程序中的某一计算方法或某一特定的处理。审计人员要详细查明某一程序控制的实现。审计人员要证实某一程序是否按程序说明书和逻辑流程图编写的。7.2.1 程序编码检查法 采用程序编码检查法审查被审程序的处理和控制功能的可能性和有效性，通常决定于下列因素：被审程序的复杂性。被审程序编写的语言和编写的方式。审计人员对被审程序语言及编程技术的精通程度。主要优点：可以详细地了解程序中每一个处理和控制功能，程序中各种舞弊都可以用这种方法来检查。主要缺点：要求审计人员具有较高的编程语

6、言和编程技术的知识，进行审查也相当费时 审计人员面临这种风险：所审查的程序和被审单位实际运行的程序是不同的。7.2.1 程序编码检查法 采用程序编码检查法进行审查之前，应检查程序的一般控制是否健全有效，对此，可采用下列方法：检查被审程序变动控制、接触控制是否正常。如被审单位备有程序管理登记簿，则应加以复核。应采用突击审计的方式，复制被审系统正在运行的被审程序进行审查。7.2.2 程序运行记录检查法 程序运行记录包括操作的起止时间、中断、故障、终端等方面的信息，它是由系统自动记录下来的。通过对程序运行记录的审查，可以推测被审程序程序化控制措施是否存在、是否可靠。突然中断则可能说明程序中语法或逻辑

7、等有错误。优点：审计技术简单，审计成本低。缺点：只能推测系统中的控制与处理功能是否正常，实际情况如何，还必须采用其他的审计方法进一步审查。7.2.3 程序运行结果检查法 同对手工会计信息系统的凭证、账簿、报表的审查一样，通过对系统打印的结果检查，来推断被审程序处理功能的正确性和控制措施的健全有效性。打印输出主要包括：错误清单、业务清单、记账凭证、日记账、分类账、会计报表以及其他各种报表。错误清单对审计人员来说，具有下列用途：错误清单记录的错误的多寡，可作为审计人员评价被审程序内部控制有效性的主要依据。根据错误清单上所列的错误类型及其处理方法，审计人员可找出造成错误的原因及其处理是否适当。若审计

8、人员以手工抽查计算机结果与计算机的输出不符，而错误清单中未列有该错误时，可提醒审计人员被审程序的内部控制可能有缺陷。7.2.3 程序运行结果检查法 对业务清单、日记账、分类账、会计报表等打印输出进行检查，则可推断业务处理功能是否有效，如：科目代码合法性检验功能，数据输入和处理有效性、合理性、合法性检验功能，试算平衡功能等控制功能是否正常有效。优点：审计人员不必具有较高的计算机知识，只需熟悉手工审计的技巧即可。缺点：审计人员所获得的输出可能并非被审程序的实际处理结果，被审程序的错弊不可能全部出现在一份或多份的打印输出资料上。7.2.4 检测数据法 检测数据法是指审计人员把一批预先设计好的检测数据

9、，利用被审程序加以处理，并把处理的结果与预期的结果做比较，以确定被审程序的处理和控制功能是否恰当有效的一种方法。7.2.4 检测数据法 检测数据法可用来审查电算化会计信息系统的全部程序、个别程序，以及某个程序的某个或某几项控制措施，以确定这些控制是否能发挥有效功能。检测数据法一般适用于下列三种情况 被审电算化会计信息系统的关键控制建立在计算机程序中。被审电算化会计信息系统的可见审计线索有缺陷，难以由输入直接跟踪到输出。被审单位电算化会计信息系统程序较多，用检测数据法比直接用手工方法进行审查更经济，效率更高。7.2.4 检测数据法 应用检测数据法对被审程序的处理和控制功能进行审查，选择或审计合适

10、的检测数据是一个关键问题，检测数据按其来源可分为：被审单位以往设计的检测数据 由审计人员自行设计的检测数据 由审计人员根据被审程序控制及处理功能和主文件，设计若干虚拟的业务，并逐笔制作成检测数据。根据被审单位以前月份或年度的输入数据，稍加修改后利用。运行审计软件产生检测数据。7.2.4 检测数据法 不管检测数据来源如何，检测数据中应包括以下两种业务：正常的、有效的业务。不正常的、无效的业务。检测数据法的优点：对审计人员的计算机知识和技能要求不太高。适用范围广。在审计线索间断或不完整的情况下，使用这种方法也能对程序的功能作出评价。由于这是一种抽样审计方法，因此，用于测试比较复杂的被审程序是比较经

11、济的。7.2.4 检测数据法 检测数据法的缺点：在全面测试被审系统的所有程序或程序中所有控制及处理功能时，难以保证测试数据的全面性，因而难以对被审程序作出全面的评价。如果利用被审单位实际运行的程序和文件处理检测数据，还可能破坏被审单位的主文件。难以保证被审的程序就是被审单位在整个被审期间实际使用的程序。使用检测数据法要注意确定被审的程序是否就是被审期间实际运行的程序。突击审计。检查系统的一般控制是否健全、有效。7.2.5 整体检测法（虚拟实体法）整体检测法是指审计人员在被审的电算化会计信息系统中建立一个虚拟的实体，然后利用被审程序，在正常的业务处理时间里，与真实业务一起，对此虚拟实体建立的有关

12、检测业务由同一被审程序进行处理，并把被审程序对这些检测业务处理的结果与预期的结果进行比较，以确定被审程序的处理和控制功能是否恰当可靠的方法。7.2.5 整体检测法 采用整体检测法的审计步骤为：需要审查的程序以及需要审查的处理及控制功能。虚拟一个实体。设计与虚拟实体有关的业务，并用手工计算出预期的结果。将虚拟实体的业务数据与被审单位的实际业务数据一起输入被审系统，由被审程序进行处理。将被审程序的处理结果与手工计算的预期结果进行比较，作出评价。消除虚拟实体的业务数据，以免影响真实数据处理结果的正确性。例：被审单位工资处理有这样的一控制措施：若某员工工资经处理后，实发工资额超过5000元，则被审程序

13、将该职工工资数据计入异常数据文件并打印输出，供会计主管审核。7.2.5 整体检测法 采用整体检测法，有下列两种常见的使用方式：让检测业务同真实业务一样从头到尾通过整个系统，得到最终的输出。对被审电算化会计信息系统的被审程序作适当的修改，以便检测业务在进入总分类账或进行重要的输出之前被删除，不致影响被审单位的正常业务和财务报表。例：在上述例子中，若采用第一种检测方式，应准备冲销的会计分录输入系统。若采用第二种方式，则可修改工资结算汇总程序和工资分配汇总程序，令其在汇总时对职工号码超过实际职工号码范围的职工另外单独进行汇总和打印输出，不计入实际职工工资总额中。检测完毕后，可令程序从职工工资文件中删

14、除这些检测业务。7.2.5 整体检测法 优点：检测数据可与被审单位的日常处理的真实业务一起输入，并进行处理，可能比其他审计方法更为经济有效。审计人员可根据需要随时输入检测数据，从而能够对被审程序进行经常性的直接测试，保证被审程序就是被审单位实际运行的程序，保证审计结果的可靠性。应用范围广泛。缺点：若没有及时或完全消除检测数据，可能会影响被审单位数据文件和财务报表的正确性。如果检测数据选择不全面，则不能审查出被审程序的全部错弊。如果被审单位的数据处理人员知道检测业务，有可能会加以干涉，从而影响审计结果7.2.6 程序编码比较法 程序编码比较法是指比较两个独立保管的被审程序版本，以确定被审程序是否

15、经过了改变。审计人员要用由审计部门自己保管的，经以前审查其处理和控制功能恰当的被审程序副本与被审单位现在使用的应用程序进行比较，可发现任何程序的改动，并评估这些改变带来的后果。程序编码比较法不仅适用于源程序编码之间的比较，也可运用于目标程序码之间的比较。对目标程序码比较时，审计人员应将其能有效控制的源程序编码，经计算机编译为目标程序后，再与目前使用的被审程序比较。若目标程序存在差异，审计人员需要花费较多的时间进行追查与分析，才能确定产生差异的原因及后果。7.2.6 程序编码比较法 审计人员在审查被审系统的内部控制时，对于一般控制是否被确实执行，可采用程序编码比较法，进行符合性测试。目前正在使用

16、的被审程序未遭非法的改动。所有经核准的程序变动，均有适当的控制。程序变动的原因及其预期影响均作成适当的文件记录。被审单位规定的程序管理制度，确已被正确执行。审计人员可通过程序编码比较法增进对被审程序或系统的进一步了解。程序编码比较法若与其他计算机辅助审计技术一起使用，可发挥较好的审计效果。7.2.6 程序编码比较法 采用程序编码比较法的一般步骤：审计人员控制一个经审查其处理和控制功能恰当的被审程序副本。取得被审单位正在运行的被审程序。取得比较两个程序的软件。在被审单位或审计人员的计算机上进行比较。评价检测结果。优点：技术简单，使用方便，可检查出被审程序的任何修改。缺点：若程序改动较大，要分析和

17、评价发现的差异会很困难和费时。若在对比的时间点上程序已经经过了非法改变并已恢复，运用此法无法检查出来。7.2.7 受控处理法 受控处理法是指审计人员通过被审程序对实际会计业务的处理进行监控，查明被审程序的处理和控制功能是否恰当有效的方法。审计人员首先对输入的数据进行查验，并建立审计控制，然后亲自处理或监督处理这些数据，最后将处理的结果与预期结果加以比较分析，判别被审程序的处理和控制功能能否按设计要求起作用。例如：审计人员可通过检查输入错误的更正与重新提交的过程，判别被审程序输入控制的有效性。通过检查错误清单和处理打印结果来判别被审程序处理和控制功能的可靠性。通过核对输出与输入来判别输出控制的可

18、靠性。7.2.7 受控处理法 以存货核算程序为例：存货业务有两方面：一是存货入库引起存货数量和金额的增加；二是存货的发出引起存货数量和金额的减少。在输入出入库数据之前，审计人员分别统计总数量、总金额和业务笔数，然后用被审程序输入和处理，处理完后的结果和事先算得结果核对，就可以判断被审程序的处理和控制功能的可靠性。若输入的存货编码在系统中不存在，则该程序应拒绝输入和处理，若被审程序没有拒绝，则说明被审程序对存货编码检验措施或已不起作用，这时，审计人员可采用其他的审计方法对被审程序进一步审查。7.2.7 受控处理法 优点：审计技术简单、省时省力，不需要审计人员具有较高的计算机知识，只要采用突击审计

19、的方式，就可以保证被审程序与实际使用程序的一致性，从而保证审计结论的可靠性。缺点：选择的实际业务数据可能不足以评价各种处理和控制功能。要求审计人员具有相当的操作知识与技能，以便对被审程序运行过程进行有效的控制与监督，防止被审单位操作人员篡改程序或数据。审计人员对实际业务数据的监督、控制及比较分析，可能影响被审单位的正常数据处理及工作效率。7.2.8 受控再处理法 受控再处理法是指在被审单位正常业务处理以外的时间里，由审计人员亲自进行或在审计人员的监督下，把某一批处理过的业务进行再处理，比较两次处理的结果，以确定被审程序有无被非法篡改，被审程序的处理和控制功能是否恰当有效。实际工作中，可采用下列

20、两种不同的方法：审计人员保存一批在以前审计时已经由当时经审查证实处理和控制功能恰当有效的被审程序处理过的业务及当时处理的结果。审计人员保存有以前审计时已经审查证实其处理和控制功能恰当有效的被审程序副本。7.2.8 受控再处理法方法一方法二7.2.8 受控再处理法 优点：测试数据是现成的，而且可在审计人员和被审单位都感到方便时进行测试。因此，不干扰被审单位的正常业务。缺点：有些单位已经处理过的业务文件可能只保留很短的时间，而主文件可能经过了多次更新，所以很难获得重新处理所需的文件。7.2.9 平行摸拟法 平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的摸拟程序

21、，用这种程序处理当期的实际数据，并把处理的结果与被审程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法。7.2.9 平行模拟法 使用这种方法的一般步骤为：根据审计的目的和要求，确定被审程序。了解该程序所设计文件记录的格式、文件类型、数据处理步骤和计算规则、输入输出的格式和内容，输入、处理、输出控制措施等。编制审计模拟程序。分别用被审程序和模拟程序处理实际业务数据。对处理结果进行比较分析，并对被审程序的处理和控制功能作出评价。运用这种方法，审计人员不一定要模拟被审程序的全部功能，可以只模拟被审程序的某一方面处理或控制功能。7.2.9 平行模拟法 优点：能独立地处理实际数据，

22、不依赖于被审单位的人力和设备，因此，审计结果较为准确。缺点：开发模拟系统难度较大且成本较高。审计人员首先要证明模拟程序是正确的，这也是一个额外的困难。7.2.10 嵌入审计程序法 嵌入审计程序法，是指在被审电算化会计信息系统的设计和开发阶段，在被审的程序中嵌入为执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过对这些资料的审核来确定被审程序的处理和控制功能的可靠性。7.2.10 嵌入审计程序法 在实际使用中，审计程序段主要有两种：不经常起作用的，只有审计人员在执行特定的审计任务才激活的审计程序。例如，在应收账款

23、核算程序中嵌入的给债务人打印审计函证书的审计程序段。在被审程序中连续监控某些特定点上的处理的程序。例如，在现金核算过程中，审计人员要检查被审单位有无违反现金管理制度，可嵌入审计程序段，该程序检查每笔现金收付业务是否超出范围和限额，若超出，则把这笔业务计入到审计控制文件中。又如，某单位的工资核算程序中有实发工资限额的控制，审计人员要审核控制是否有效，可在被审程序中插入一段程序对超出限额的实发工资写入审计控制文件中，定期输出与被审程序输出结果核对。7.2.10 嵌入审计程序法 优点：在被审单位处理业务数据的同时获取审计证据，它可以防止在数据处理后进行审核时难以确信被审程序是否是实际应用的程序的缺陷

24、。只要被审程序开始运行，审计程序段就处于监督状态，它可以弥补事后审计线索不充分的缺陷。缺点：只能用来审查事先考虑到的程序处理和控制功能的有关情况。审计人员必须事先确定需要何种获得资料，然后要编制审计程序段，一旦应用程序修改，审计程序段也可能要修改。这种审计方法需要审计人员参与被审系统与设计，对于国家审计来说，这一点不一定能做到。在使用这种方法时，审计人员还要特别注意被审系统的一般控制是否健全有效，以防审计程序段被有关人员移走或篡改。7.2.11 程序追踪法 程序追踪法是一种对给定的业务，跟踪被审程序处理步骤的审查技术，一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令跟踪被审程序的处理。如：FoxPro中的set step on，set talk on，set echo on等。优点：可显示被审程序中什么指令已执行以及按何种顺序执行。因此，追踪法可查出在被审程序中的非法指令 缺点：要求审计人员具有编写应用程序所用的计算机语言的详尽知识，实行跟踪并分析结果可能费时费力。谢谢 谢！谢！